Entry № 1116
セキュリティプレイブック
セキュリティプレイブック とは何ですか?
セキュリティプレイブック特定のアラートや事案について、対応者が何をどの順序で行うかを定めた、文書化された再現可能な手順。
セキュリティプレイブック(ランブック)は、アラートを行動に変える標準的な手順です。トリガー、必要な入力、判断ポイント、エンリッチメント手順、封じ込め動作、コミュニケーションのチェックポイント、クローズ基準を記載します。SOC のナレッジベースに保存することもあれば、SOAR プラットフォーム上でコードとして実行され、サンドボックスへの問い合わせ、ホスト隔離、ユーザー無効化などを自動で行う場合もあります。良いプレイブックはプレッシャー下でも追える短さを保ち、バージョン管理され、机上演習で訓練され、インシデント対応計画と整合し、実事案ごとに振り返って改訂されます。
● 例
- 01
フィッシング用プレイブックがヘッダーを取得し、添付ファイルをサンドボックスで爆破し、配信済みコピーを隔離する。
- 02
SOAR ワークフローが侵害ユーザーを無効化し、トークンを失効させ、IT 部門にチケットを起票する。
● よくある質問
セキュリティプレイブック とは何ですか?
特定のアラートや事案について、対応者が何をどの順序で行うかを定めた、文書化された再現可能な手順。 サイバーセキュリティの 防御と運用 カテゴリに属します。
セキュリティプレイブック とはどういう意味ですか?
特定のアラートや事案について、対応者が何をどの順序で行うかを定めた、文書化された再現可能な手順。
セキュリティプレイブック からどのように防御しますか?
セキュリティプレイブック に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
セキュリティプレイブック の別名は何ですか?
一般的な別名: ランブック, 対応手順。